«Руководство не покупает «безопасность». Оно покупает уверенность в том, что завтра компания продолжит зарабатывать. Ваша задача — показать, что инвестиции в защиту — это не затраты, а страховка от конкретных финансовых потерь. Когда вы говорите о рисках, вы говорите о деньгах, которые компания может потерять. ИБ из технической функции превращается в финансовый контроль.»
Почему «просто бюджет на безопасность» больше не работает
Для совета директоров любая заявка на финансирование — это инвестиционный кейс. Он должен обосновывать возврат денег либо снижение убытков. Фраза «это нужно для безопасности» не проходит проверку по этому принципу. В лучшем случае её воспримут как необходимую, но непонятную статью расходов, которую можно урезать. В худшем — как попытку построить «крепость ради крепости» за счёт прибыли. Нужно сместить фокус с технических подробностей на защиту денежных потоков.
Шаг 1: Найдите кровеносную систему компании, а не просто «данные»
Первый шаг — отказаться от инвентаризации «серверов и рабочих станций» в пользу бизнес-активов. Цель — определить 5-7 точек, удар по которым вызывает немедленную финансовую боль или стратегические потери.
- Процессообразующие системы: Это не просто «сервер 1С». Это система, без которой на следующий день не выставляются счета, не идут отгрузки со склада или останавливается автоматизированная линия. Их простой измеряется в часах простоя выручки.
- Активы, создающие конкурентное преимущество: Уникальная конфигурация оборудования, алгоритм динамического ценообразования, натренированная модель машинного обучения. Их копирование конкурентами обесценивает бизнес.
- Активы доверия: Способность гарантировать клиентам сохранность их данных (ключевой аргумент для B2B) или непрерывность оказания услуг. Их потеря ведёт к оттоку.
Составьте карту: какой бизнес-процесс, какой актив его обеспечивает, каков финансовый эффект от часа/дня простоя.
[ИЗОБРАЖЕНИЕ: Карта критических бизнес-процессов компании. В центре — ключевые процессы (Продажи/Оплата, Производство, Логистика). От каждого процесса стрелки ведут к обеспечивающим их ИТ-системам (CRM/платёжный шлюз, SCADA/системы ЧПУ, WMS). От систем — стрелки к возможным инцидентам (DDoS, шифровальщик, утечка) и далее к финансовым последствиям (упущенная выручка, штрафы по 152-ФЗ, простой, репутационный ущерб).]
Шаг 2: Переведите угрозы в сценарии бизнес-сбоев
Забудьте про «эксплойты» и «уязвимости нулевого дня». Говорите на языке операционных рисков, который понятен любому руководителю.
- Не «вирус-шифровальщик», а: «Риск остановки конвейерной линии на 72 часа из-за блокировки серверов управления, что приведёт к невыпуску продукции на X миллионов».
- Не «утечка данных», а: «Риск раскрытия коммерческой тайны и базы клиентов, ведущий к штрафам Роскомнадзора по 152-ФЗ, искам партнёров и потере конкурентного преимущества».
- Не «DDoS-атака», а: «Риск недоступности интернет-магазина в час пиковых продаж, приводящий к прямому падению выручки и переходу клиентов к конкурентам».
Шаг 3: Посчитайте стоимость инцидента до того, как он случился
Здесь нужна простая, но убедительная арифметика. Используйте модель оценки годовых ожидаемых потерь. Не нужно сверхточных расчётов — достаточно реалистичных оценок, основанных на известных метриках бизнеса (средний чек, объём производства в день, размеры штрафов).
| Актив / Сценарий | Потенциальный единовременный ущерб | Вероятность в год | Годовая ожидаемая потеря (ГЭП) |
|---|---|---|---|
| Система онлайн-платежей: DDoS, простой 8 ч | 2.5 млн руб. (расчёт на основе ср. выручки за 8 ч) | 20% | 500 тыс. руб. |
| База ПДн клиентов: утечка, нарушение 152-ФЗ | От 3 млн руб. (штрафы, уведомления, аудит) | 15% | 450 тыс. руб. |
| Сервер управления производством: шифровальщик, простой 3 дня | 18 млн руб. (невыпуск продукции + аварийные работы) | 10% | 1.8 млн руб. |
Суммарная ГЭП = 2.75 млн руб./год. Эта цифра — ваш главный аргумент. Это не абстрактная угроза, а расчётная сумма, которую компания может терять ежегодно из-за киберинцидентов. Задача ИБ — уменьшить эту цифру.
Шаг 4: Превратите затраты в инвестиции с измеримой окупаемостью
Подавайте бюджет не списком закупок, а портфелем проектов по снижению рисков. Каждый проект должен показывать, какую часть ГЭП он «съедает».
| Проект (инвестиции) | На что направлен | Стоимость в год | Как снижает ГЭП | Эффект (снижение ГЭП) |
|---|---|---|---|---|
| Внедрение EDR и мониторинга (SOC) | Риск шифровальщиков, несанкционированный доступ | 2.5 млн руб. | Снижает вероятность и ущерб по ключевым сценариям на ~60% | ≈ 1.1 млн руб. экономии на потенциальных убытках |
| Апгрейд защиты от DDoS | Риск проступа онлайн-сервисов | 800 тыс. руб. | Снижает вероятность с 20% до 5% | ≈ 300 тыс. руб. экономии |
| Внедрение DLP для R&D | Риск утечки ноу-хау и исходного кода | 1.5 млн руб. (внедрение + год сопровождения) | Защищает актив, потеря которого не имеет прямой стоимостной оценки, но фатальна для бизнеса. Позволяет заключать контракты с повышенными требованиями к ИБ. | Стратегический эффект, выход на новые рынки |
Теперь ваш запрос звучит иначе: «Инвестируя 4.8 млн руб. в год, мы снижаем ежегодные ожидаемые потери от инцидентов с 2.75 млн до 1.35 млн руб. и защищаем ключевые активы для роста». Защита становится инструментом финансового контроля.
Шаг 5: Используйте регуляторику как рычаг для роста, а не как обузу
Требования регуляторов — не просто бюрократия. Это финансовые условия доступа к рынкам.
- ФСТЭК и ГИС: Это не «аттестация ради аттестации». Это билет на участие в госзакупках и тендерах крупнейших компаний. Стоимость проекта аттестации и СЗИ — это плата за вход на рынок с оборотом в миллиарды.
- 152-ФЗ: Выполнение требований — не только защита от штрафов. Для B2B-сегмента это часто обязательное условие договора. Соответствие становится коммерческим преимуществом, которое позволяет брать премию за услугу или выигрывать тендеры.
- Киберстрахование: Страховщики всё чаще требуют наличия базовых средств защиты. Инвестиции в ИБ напрямую снижают страховую премию, что даёт измеримый финансовый эффект.
[ИЗОБРАЖЕНИЕ: Схема «Регуляторика как бизнес-драйвер». Два столбца: «Затраты на соответствие» (аттестация, СЗИ, DLP) и «Открывающиеся возможности» (Допуск к госзаказу, Контракты с повышенными требованиями, Снижение страховой премии). Между ними стрелки, показывающие причинно-следственную связь.]
Что сказать совету директоров: трёхминутный брифинг
- Риск: «Мы выявили три ключевых актива, от которых зависит 70% нашей операционной выручки. Реализация киберрисков по ним может обойтись нам в 15-20 миллионов единовременно, а годовая вероятность таких событий оценивается в 10-15%».
- Стратегия: «Мы предлагаем сфокусированную программу из двух этапов. Первый этап стоимостью N миллионов рублей в год снизит эти ключевые риски на 50-60% в течение 12 месяцев, что эквивалентно экономии на потенциальных убытках в размере X миллионов».
- Запрос и эффект: «Для старта нужен бюджет в A рублей. Это не только сократит финансовые потери, но и позволит нам выполнить требования ключевого регулятора (ФСТЭК), открывая доступ к новым контрактам на сумму от B миллионов».
Когда вы приходите с такой логикой, вы перестаёте быть просителем. Вы становитесь управляющим рисками, который предлагает чёткий план по защите денег компании. И это — единственный язык, который совет директоров готов слушать и финансировать.